AWS Inspector là gì? Quét lỗ hổng tự động cho EC2, ECR, và Lambda

Amazon Inspector là gì?

Amazon Inspector là một dịch vụ đánh giá bảo mật tự động (Automated Security Assessment) của AWS, giúp phát hiện lỗ hổng (vulnerabilities) và rủi ro cấu hình bảo mật trong tài nguyên AWS như EC2, ECR (Elastic Container Registry) và AWS Lambda. Dịch vụ này giúp các doanh nghiệp duy trì môi trường AWS an toàn, tuân thủ và giảm thiểu rủi ro bảo mật mà không cần phải kiểm tra thủ công.

Inspector liên tục cập nhật dữ liệu CVE, gán severity (CVSS), tổ chức kết quả thành findings, và tích hợp với EventBridge, Security Hub, SNS/ChatOps để cảnh báo và tự động hoá quy trình xử lý.

Tính năng chính

1. Tự động phát hiện lỗ hổng bảo mật

   • Phân tích EC2 instances, container images và Lambda functions để xác định các CVE (Common Vulnerabilities and Exposures).
   • Amazon EC2: Quét phần mềm/hệ điều hành đã cài đặt thông qua SSM agent để phát hiện CVE
   • Amazon ECR (container images): Tự động quét images khi push và re-scan khi xuất hiện CVE mới (ECR Enhanced Scanning powered by Inspector).
   • AWS Lambda: Phân tích dependencies của function và layers để phát hiện lỗ hổng.

2. Tích hợp sâu với các dịch vụ AWS

   • Làm việc trực tiếp với ECR, EC2, Lambda, và AWS Organizations.

3. Phát hiện theo thời gian thực

   • Tự động chạy scan khi có thay đổi — ví dụ, khi cập nhật AMI, deploy container mới hoặc chỉnh sửa code Lambda.

4. Đánh giá dựa trên tiêu chuẩn bảo mật quốc tế

   • Áp dụng các tiêu chuẩn như CIS Benchmark và NIST.

5. Quản lý kết quả tập trung

   • Kết quả scan được tập trung và hiển thị trên AWS Security Hub.

Thành phần & Cơ chế hoạt động

• Service-linked role: Inspector tạo IAM role quản trị riêng để thu thập dữ liệu.
• Continuous scanning: Theo dõi thay đổi tài nguyên (EC2/ECR/Lambda) và quét định kỳ; tự re-scan khi có CVE mới.
• EC2 scanning: Yêu cầu máy chủ có SSM Agent và được quản lý bởi Systems Manager. Inspector thu thập inventory packages/kernel để so khớp CVE.
• ECR Enhanced Scanning: Bật ở cấp Registry. Inspector quét image khi push và theo lịch; hỗ trợ đánh giá software supply chain sớm trong CI/CD.
• Lambda scanning: Phân tích package/layers tương thích runtime; cảnh báo findings và khuyến nghị version an toàn.
• Findings & Aggregation: Findings có severity, resource, vulnerabilityId (CVE), fixAvailable, package… Có thể đẩy sang Security Hub để hợp nhất.
• Eventing: Xuất sự kiện findings qua EventBridge để tự động tạo ticket (Jira), mở PR bump version, hoặc chặn deploy.

Cách thức hoạt động

Quy trình hoạt động của Amazon Inspector gồm 3 bước chính:

1. Discovery (Phát hiện tài nguyên)
   • Inspector tự động phát hiện các tài nguyên được hỗ trợ trong tài khoản AWS (EC2, ECR, Lambda).
2. Assessment (Đánh giá bảo mật)
   • Dịch vụ tiến hành scan tự động, so sánh với cơ sở dữ liệu CVE và tiêu chuẩn bảo mật.
3. Reporting (Báo cáo và cảnh báo)
   • Kết quả được tổng hợp trong AWS Security Hub hoặc gửi qua SNS, CloudWatch, hoặc API.

Amazon Inspector có thể làm gì

• Phát hiện lỗ hổng phần mềm trong EC2 và container images.
• Đánh giá cấu hình bảo mật và runtime của Lambda.
• Giúp đội ngũ bảo mật ưu tiên xử lý các vấn đề nghiêm trọng.
• Hỗ trợ compliance (PCI DSS, ISO 27001, SOC 2).
• Tự động kích hoạt scan khi có thay đổi tài nguyên mới.

Các trường hợp sử dụng

Tình huống	Mô tả
Kiểm tra container trước khi deploy	Scan image trong ECR để phát hiện lỗ hổng.
Đánh giá bảo mật EC2 định kỳ	Đảm bảo EC2 không chạy các phiên bản phần mềm lỗi thời.
Kiểm tra code Lambda	Xác định các dependency hoặc runtime bị lỗi bảo mật.
Tuân thủ tiêu chuẩn bảo mật	Tự động hóa kiểm tra tuân thủ các quy chuẩn an ninh.

---

So sánh: Amazon Inspector vs các dịch vụ tương tự

Dịch vụ	Mục tiêu chính	Đặc điểm nổi bật
Amazon Inspector	Đánh giá lỗ hổng bảo mật (vulnerability scanning - CVE)	Tự động phát hiện CVE, tích hợp EC2/ECR/Lambda
AWS GuardDuty	Phát hiện đe dọa (threat detection) (dị thường/tấn công)	Giám sát hành vi đáng ngờ và truy cập bất thường(Logs/Events/Network)
AWS Config	Giám sát cấu hình và compliance	Kiểm tra trạng thái tuân thủ của tài nguyên AWS
AWS Security Hub	Tổng hợp, chuẩn hoá và quản lý cảnh báo bảo mật	Tập trung kết quả từ nhiều nguồn (Inspector, GuardDuty, Config)

Gợi ý: Dùng Inspector cho CVE; GuardDuty cho phát hiện xâm nhập; Security Hub để hợp nhất findings và theo dõi compliance.

👉 Tóm lại:

• Inspector → tìm lỗ hổng (vulnerability)
• GuardDuty → phát hiện tấn công/đe dọa
• Config → kiểm tra compliance và cấu hình
• Security Hub → tổng hợp tất cả kết quả từ các dịch vụ khác

Best Practices

1. Kích hoạt Inspector trên toàn bộ region để tránh bỏ sót tài nguyên.
2. Kết nối với Security Hub để có cái nhìn toàn diện về bảo mật.
3. Tích hợp CI/CD pipeline để quét container trước khi deploy.
4. Thiết lập cảnh báo tự động qua Amazon SNS.
5. Theo dõi và khắc phục định kỳ để đảm bảo môi trường luôn an toàn.

Ví dụ

Ví dụ: Công ty bạn deploy ứng dụng web sử dụng EC2 và container ECR. Sau khi bật Amazon Inspector:

• Inspector tự động phát hiện 3 container có lỗ hổng CVE-2024-xxxx.
• Báo cáo hiển thị trong Security Hub.
• Bạn có thể click vào chi tiết → xem file bị ảnh hưởng → và cập nhật image.

💡 Không cần cài agent thủ công hoặc chạy script phức tạp.

Kết luận

Amazon Inspector là một trong những công cụ bảo mật cốt lõi của AWS, giúp phát hiện và quản lý lỗ hổng trong tài nguyên cloud(EC2, container images và Lambda) một cách tự động, liên tục và thông minh, là trụ cột trong chiến lược DevSecOps trên AWS.

Khi được kết hợp với Security Hub, GuardDuty, và AWS Config, nó tạo thành một hệ sinh thái bảo mật toàn diện cho hạ tầng AWS hiện đại.

Kết hợp Enhanced Scanning cho ECR, EventBridge, và SSM Patch Manager, bạn có quy trình phát hiện–khắc phục lặp lại, giảm rủi ro bảo mật và kiểm soát chi phí.

Nguồn tham khảo

• Amazon Inspector: https://aws.amazon.com/inspector/
• Inspector2 API: https://docs.aws.amazon.com/inspector/v2/APIReference/Welcome.html
• ECR Registry Scanning: https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html
• Improved, Automated Vulnerability Management